釣魚網(wǎng)站檢測研究現(xiàn)狀與發(fā)展趨勢的計量分析

朱世起，努爾布力

新疆大學 信息科學與工程學院，烏魯木齊 830046

1 引言

信息時代互聯(lián)網(wǎng)用戶的爆炸式增長，在給國家注入新的經(jīng)濟增長動力的同時也為惡意黑客帶來了新的創(chuàng)收途徑。釣魚網(wǎng)站作為釣魚攻擊最常見的網(wǎng)絡(luò)媒介，自互聯(lián)網(wǎng)出現(xiàn)之日起就一直受到惡意黑客的青睞。而釣魚攻擊作為社會工程學攻擊的一種，比其他類型的社會工程學攻擊具有更高的復雜性與普遍性[1]。在攻擊形式上，不同于依賴純技術(shù)手段入侵的黑客攻擊，釣魚攻擊往往還利用用戶的信任并使用社會工程學通過偽造知名站點的方法去欺騙用戶。Jagatic等人[2]指出：有時候一封“友好”的電子郵件會誘使用戶在線上透漏更多信息，而這正好迎合了發(fā)件者的意圖。作為釣魚攻擊的重要一環(huán)，釣魚攻擊往往始于一封偽造的電子郵件，通過其中的鏈接最終將用戶導流至套取用戶信息的釣魚網(wǎng)頁當中。由PHISHLABS在2018年最新發(fā)布的報告[3]中顯示：被釣魚攻擊的對象正在由個體上升為組織；通過電子郵件和線上服務(wù)進行的釣魚攻擊中，金融機構(gòu)以21%的占比排在被攻擊目標的首位；截止到2017年的年末，以https開頭的釣魚網(wǎng)址數(shù)量占比由2016年的1/5上升至 1/3；通過 SaaS（Software-as-a-Service：軟件即服務(wù)）作為媒介的釣魚攻擊增長速度達到了237%的歷史新高。

在2018年第13屆APWG（The Anti-Phishing Working Group：反釣魚攻擊工作小組）的電子犯罪研究專題學術(shù)會議的論文征集上，給出了網(wǎng)絡(luò)犯罪經(jīng)濟學、安全相關(guān)風險評估、公共政策與法律法規(guī)、移動設(shè)備的安全性評估等10項有關(guān)釣魚攻擊的理論性學術(shù)研究研究投稿主題方向。同時，在產(chǎn)業(yè)工程性研究方向上給出了攻擊方法研究、開源信息獲取、網(wǎng)絡(luò)廣告欺詐研究等9項投稿主題方向。可見，盡管目前產(chǎn)業(yè)界與學術(shù)圈都熱衷于尋找應(yīng)對釣魚攻擊的解決方案，但釣魚攻擊本身并沒有得到有效的遏制，且依然造成了巨額的經(jīng)濟損失。而據(jù)2018年賽門鐵克安全報告[4]指出，通過瀏覽器傳播的挖礦劫持同比去年激增8 500%。整個環(huán)節(jié)通過網(wǎng)絡(luò)釣魚的方式誘導用戶點擊惡意鏈接，然后加載挖礦腳本到用戶計算機中從而完成劫持。可見，通過釣魚攻擊竊取信息或劫持主機進而牟利的途徑，已經(jīng)從以往的誘導用戶輸入相關(guān)個人登陸信息，繼而盜取賬戶資金、隱私信息或是劫持網(wǎng)頁進行無休止的廣告彈窗騷擾等，發(fā)展到了挖礦劫持等新手段下對個人計算機運算能力的竊取。利用釣魚攻擊進行犯罪的活動范圍正在不斷擴大。與此同時，諸如SETOOLKIT、WiFiPhisher等開源釣魚工具的不斷涌現(xiàn)，使得進行釣魚攻擊的技術(shù)成本和經(jīng)濟成本不斷降低。同時也導致盡管有大量的反釣魚軟件，但釣魚攻擊始終無法被真正杜絕。如何運用新的技術(shù)手段與思路對不斷升級的釣魚攻擊手段進行更有效地識別與遏制，是近幾年來一直未能有效解決且受到持續(xù)關(guān)注的問題。

本文主要采用文獻計量分析法，通過統(tǒng)計學、圖書館情報學等方式，旨在解決以下三個問題：

（1）釣魚網(wǎng)站檢測技術(shù)關(guān)注的熱點及核心研究領(lǐng)域是什么？

（2）在釣魚網(wǎng)站檢測技術(shù)領(lǐng)域下國際上著名的期刊及研究機構(gòu)有哪些？

（3）釣魚網(wǎng)站檢測技術(shù)在國際上的發(fā)展脈絡(luò)以及未來可能的發(fā)展趨勢是什么？

2 數(shù)據(jù)來源與研究方法

2.1 數(shù)據(jù)來源

為確保論文內(nèi)容的質(zhì)量與所調(diào)研結(jié)果的前瞻性，本文通過文獻計量工具進行分析的數(shù)據(jù)來源于包含相關(guān)SCI、CPCI-S與BKCI-S等數(shù)據(jù)庫的Web of Science核心數(shù)據(jù)合集。使用到的檢索關(guān)鍵詞如表1所示。

表1 文獻檢索策略表

考慮到Web of Science的主題檢索會檢索文章的標題、摘要以及關(guān)鍵字。同時考慮到英文中同一意義的單詞在表達時可能存在詞性的不同。例如，在表達“評估”意義時，有的文章使用其名詞形式“evaluation”，而有的文章則使用動詞形式“evaluate”。為避免因詞性書寫方式不同而導致的查找遺漏，本文在高級搜索中通過使用通配符以及精確匹配符，將表1中的主題詞凝練成如下搜索語句：

TS=（（phishing OR“fishing attacks”O(jiān)R“fishing attack”）AND（detect*OR classifi*OR evaluat*OR recogni*OR countermeasure*） AND（algo*OR method*OR mean*OR way*OR tech*OR approach*OR scheme*OR software*OR solution*OR tool*OR model*OR system*））

Web of Science核心數(shù)據(jù)合集中，被收錄的與釣魚網(wǎng)站檢測相關(guān)的文獻，年代最早起始于2005年。2005年之前雖在其他數(shù)據(jù)庫（例如知網(wǎng)）中有少量釣魚網(wǎng)站檢測文獻，因其未收錄在Web of Science核心數(shù)據(jù)合集中，默認為這些文獻在國際上影響力較低，故在下文中不予統(tǒng)計。因截止到本文成稿之時，2019年尚未過半無法對2019年全年的文獻進行分析。故去除個別2019年的文獻，最終從Web of Science核心數(shù)據(jù)合集得到2005—2018年文獻765篇。

2.2 研究方法

借鑒Garfield博士在1955年提出的將文獻作為檢索字段從而追蹤論文創(chuàng)意發(fā)展脈絡(luò)的思想[5]。借助表2所示的工具，從施引文獻（Cited References）、被引文獻（Related Records）、引用次數(shù)（Times Cited）入手，分別解決計量調(diào)查的深度、廣度以及關(guān)注度的問題，完成文獻計量的關(guān)聯(lián)圖譜可視化分析。通過可視化分析的結(jié)果，指引尋找并閱讀一定量的代表性文獻，總結(jié)出較為成熟且應(yīng)用較為普遍的識別方法，探索在檢測釣魚網(wǎng)站問題上的新方向以及可能的突破點。

表2 文獻計量工具表

為了彌補僅僅通過計量工具無法準確地提取論文中所用檢測技術(shù)的問題。本文采用將鄰域內(nèi)高被引文獻人工閱讀的方式，將具體的檢測方法進行歸納匯總。通過參考計量工具得出的結(jié)果，選取具有代表性的文章，將文章中的檢測技術(shù)與工具得出的熱點方向進行對比分析，最終都得出結(jié)論。研究方法流程如圖1所示。

圖 1 研究方法流程圖

3 釣魚網(wǎng)站檢測技術(shù)的計量分析

共現(xiàn)分析法[7-8]將不同信息載體中的共現(xiàn)信息量化，繼而基于不同信息載體中概念特征的相關(guān)度得到最終結(jié)果。通過共現(xiàn)分析，結(jié)合時間脈絡(luò)分析研究領(lǐng)域的發(fā)展過程，可以在一定程度上達到預(yù)測研究領(lǐng)域發(fā)展趨勢的目的。

3.1 基于共詞分析的詞頻數(shù)指標計量分析

共詞分析法[9]旨在通過統(tǒng)計詞語在同一組文獻中同時出現(xiàn)的次數(shù)，從而間接地概述研究領(lǐng)域的研究熱點，屬于共現(xiàn)分析法中的一種。詞頻指代所分析文檔中詞語出現(xiàn)的次數(shù)。使用carrot2工具通過Lingo聚類算法結(jié)合TF-IDF詞頻分析對文獻數(shù)據(jù)的標題、摘要以及關(guān)鍵詞進行聚類后做高頻短語提取，得到圖2。

圖2 詞頻統(tǒng)計發(fā)泡圖

圖2 中的氣泡大小與氣泡內(nèi)短語在不同論文中出現(xiàn)的數(shù)量成正比。出現(xiàn)頻率越高的短語分布越靠四周、同時氣泡體積越大，出現(xiàn)頻率越低的短語分布越靠近幾何中心。通過高頻短語可以看出：與釣魚網(wǎng)站檢測技術(shù)相關(guān)的關(guān)鍵詞中，“釣魚郵件”“釣魚網(wǎng)站”和“英特網(wǎng)用戶”在論文中被提及最多。除此之外“移動設(shè)備”“瀏覽器”和相關(guān)的“數(shù)據(jù)集”也被反復提及。反映出國際上對網(wǎng)絡(luò)釣魚的相關(guān)檢測研究正逐漸從以往的釣魚行為主導者（郵件、網(wǎng)站）、受害者（英特網(wǎng)用戶）轉(zhuǎn)向研究網(wǎng)絡(luò)釣魚的媒介（瀏覽器、移動終端）。“數(shù)據(jù)集”詞頻的上升，正面說明了大數(shù)據(jù)方法正在越來越多的運用到網(wǎng)絡(luò)釣魚的檢測中來，從側(cè)面解釋了“機器學習”詞頻最高的原因。研究方法相關(guān)的短語中，“機器學習”“神經(jīng)網(wǎng)絡(luò)”及“視覺相似性”占比靠前，此三者都需要大數(shù)據(jù)作為支撐，說明以大數(shù)據(jù)作為基礎(chǔ)進行后續(xù)工作已經(jīng)成為一種趨勢。在特征相關(guān)短語上，“數(shù)字證書”“釣魚URL”與“DNS”三大常規(guī)特征排名靠前，說明即使機器學習相關(guān)方法的使用普及迅速，但很有可能在創(chuàng)新趨勢上是以使用常規(guī)特征結(jié)合機器學習的方式為主。在剩余高頻短語中，“分類算法”“模型提出”“垃圾郵件過濾器”等短語反應(yīng)了多數(shù)論文的最終產(chǎn)出。而“社會工程學”作為網(wǎng)絡(luò)釣魚的非技術(shù)手段理論支撐，在對網(wǎng)絡(luò)釣魚的流程解釋上廣泛使用，故在摘要中以高頻出現(xiàn)。

圖3 共現(xiàn)關(guān)鍵詞聚類時間軸圖

3.2 基于關(guān)鍵詞與補充關(guān)鍵詞的共現(xiàn)趨勢分析

關(guān)鍵詞[10]往往能夠迅速準確地反映文章的主題內(nèi)容和重點。Web of Science核心數(shù)據(jù)庫中通過使用聚類算法給每篇文章新增了通過聚類得到的補充關(guān)鍵詞（keywords plus）。為了得到釣魚網(wǎng)站檢測技術(shù)的發(fā)展趨勢，追蹤每一年在釣魚網(wǎng)站檢測方面所關(guān)注重點的不同 。本文借助CiteSpace軟件生成關(guān)鍵詞及補充關(guān)鍵詞的共現(xiàn)網(wǎng)絡(luò)，人工篩選去除掉諸如：安全（security）、攻擊（attack）以及數(shù)據(jù)集（data set）等幾乎任何網(wǎng)絡(luò)安全領(lǐng)域都會出現(xiàn)的無參考價值關(guān)鍵詞，并利用時間軸視圖通過關(guān)鍵詞及相關(guān)領(lǐng)域術(shù)語的演變，間接地將發(fā)展趨勢的演變展示出來最終得到共現(xiàn)關(guān)鍵詞聚類時間軸圖。

圖3中“十字”形節(jié)點的大小與此關(guān)鍵詞共被引的程度成正比。與關(guān)鍵詞節(jié)點相連連線的顏色對應(yīng)關(guān)鍵詞出現(xiàn)的年份。

表3 關(guān)鍵詞排名表

3.2.1 關(guān)鍵詞排名分析

在排名前10的關(guān)鍵詞中，隨著年代的變化，具有影響力的關(guān)鍵詞從最基礎(chǔ)的領(lǐng)域類名詞（釣魚攻擊、垃圾郵件）不斷地向方法性的名詞（數(shù)據(jù)挖掘、機器學習）進行演化，最終演化為釣魚攻擊有可能存在新的被攻擊平臺（智能手機），如表3。而在2018年的最新論文中，提取出的關(guān)鍵詞和主題詞更是變更為：手機釣魚（mobile phishing）、信號檢測理論（signal detection theory）以及隨機森林（random forest）等?？梢姡卺烎~網(wǎng)站檢測技術(shù)方向上，國際上的主流研究方向正在向如何使用人工智能的方法解決新型移動設(shè)備上的釣魚問題進行轉(zhuǎn)變。結(jié)合社會工程學通過手機、智能手表等新型移動設(shè)備進行釣魚欺詐目前正在變得日益嚴重且亟待解決。

3.2.2 冷門及熱點方向趨勢分析

由圖3作為趨勢分析的基礎(chǔ)，結(jié)合由Carrot2得到的詞頻聚類結(jié)果。將聚類結(jié)果盡可能細分，將首次發(fā)文時間作為橫軸將跟進研究的相關(guān)方向總發(fā)文量作為縱軸，將該方向下自首發(fā)文年份起的發(fā)文均值作為氣泡半徑，背景的藍色基調(diào)代表冷門、黃色基調(diào)代表熱點。即越是新出現(xiàn)的方向越接近熱點，越是發(fā)文量大的方向越接近熱點，圖的左下方至右上方研究逐漸偏熱且背景色由冷色轉(zhuǎn)為暖色，從而做出冷門及熱點趨勢氣泡圖（如圖4～6所示）確定冷熱趨勢，以求更加清晰地反映研究中的冷門方向與熱點方向。

圖4 內(nèi)容研究冷門及熱點趨勢圖

圖5 檢測方法研究冷門及熱點趨勢圖

圖6 釣魚媒介研究冷門及熱點趨勢圖

從內(nèi)容特征（圖4）、方法研究（圖5）以及釣魚媒介（圖6）三個大方向入手，分別對每個大方向下的小方向做冷門與熱點趨勢分析。

在內(nèi)容研究有關(guān)的方向上，基于URLs的檢測雖然距離提出已經(jīng)過去較長時間，但依然具有一定的熱度。而機器學習方法的提出，一定程度上使得基于URLs、域名已經(jīng)文本的檢測有了回暖的趨勢。與此同時，由于網(wǎng)頁上圖片數(shù)量多、難獲取且難以讓計算機分辨圖片內(nèi)容等因素的影響，基于視覺相似性的檢測并沒有因機器學習的出現(xiàn)有太大改觀?？梢灶A(yù)想，如果釣魚網(wǎng)頁圖形圖像特征數(shù)據(jù)集得以構(gòu)建，通過機器學習的方法將視覺相似性作為檢測依據(jù)將會是不錯的冷門方向。最后，近幾年越來越多的研究者開始關(guān)注證書對鑒別網(wǎng)站合法性的作用。同時，釣魚網(wǎng)站的諸如加入混淆文本等種種隱匿手段導致的爬蟲爬到的數(shù)據(jù)不可用，也為研究者提供了新的思路，或許被混淆了的不可用數(shù)據(jù)正是釣魚網(wǎng)站的另一大特征。這也解釋了為何在Lingo聚類算法下會得到“Content is not Available”這樣的關(guān)鍵詞。

在檢測方法上，機器學習的爆發(fā)成為了有史以來的最大熱點。在機器學習的子分支中，SVM逐漸降溫，而主動學習技術(shù)往往會使用SVM算法作為基準分類器，從而繼SVM開始降溫后，主動學習技術(shù)逐漸走紅有望成為新一輪的熱點。同時，近年來利用決策樹和隨機森林進行釣魚網(wǎng)站檢測有爆發(fā)的趨勢。潛在語義分析（LSA）作為一個該方向研究方法曇花一現(xiàn)的冷門，有望在將來的研究中作為釣魚網(wǎng)站溯源的重要手段。

郵件作為工作中交流的重要手段一直是誘導用戶進入釣魚網(wǎng)站的重要入口，近年來以釣魚媒介為出發(fā)點的釣魚檢測研究持續(xù)升溫。尤其是智能手機出現(xiàn)后，釣魚鏈接的散播途徑新增了APP內(nèi)的即時通信散播。由于不同的APP對其用戶所發(fā)送消息的檢測敏感程度不同，所以針對智能手機釣魚的防范研究是近幾年來的新熱點。同時，如何甄別通過智能手機APP散播惡意鏈接的惡意用戶也是近幾年如何防范智能手機釣魚大方向下的新的研究方向。

3.3 國家合作共現(xiàn)網(wǎng)絡(luò)圖譜分析

圖7中的圓圈節(jié)點大小反應(yīng)發(fā)文總量的大小。最外圈紫色圓環(huán)的厚度標識中心度的大小，即論文的學術(shù)影響力大小，外圈的紫色圓環(huán)部分越厚則節(jié)點的重要性程度越高。大紅色部分標識突發(fā)性表征節(jié)點，如果研究的內(nèi)容在短時間內(nèi)變化頻率較高則相應(yīng)的年輪圓圈變?yōu)榇蠹t色 。除以上部分之外，年輪圓環(huán)部分的顏色對應(yīng)圖片頂部時間軸的顏色，圓圈顏色深淺與環(huán)狀厚度的不同分別代表不同年代發(fā)文量的不同。

圖7 國家合作共現(xiàn)網(wǎng)絡(luò)圖

從釣魚網(wǎng)站檢測領(lǐng)域的宏觀角度來看，美國、印度和中國占據(jù)發(fā)文量的前3名，其中美國在總發(fā)文量（160篇），中心性指數(shù)（0.53）與首次發(fā)文年限（2005年）上均占據(jù)第一，說明美國在釣魚網(wǎng)站檢測這一領(lǐng)域內(nèi)與其他國家相比具備更高的理論基礎(chǔ)與科研實力。發(fā)文量排名前5的國家中，美國（2005）和中國（2006）都在2010年之前提出了釣魚網(wǎng)站檢測的概念，對于該領(lǐng)域有著較早的起步。相比美國和中國，印度雖然發(fā)文量第二，但于2011年才發(fā)表相關(guān)領(lǐng)域的第一篇文章起步較晚。在中心性上，美國（0.53）、英國（0.44）和法國（0.20）占據(jù)前3，中國雖然發(fā)文總量上超過英國和法國，但中心度指數(shù)只有0.12位居第四，可見在論文的影響力方面，我國和世界發(fā)達國家相比還具有一定的差距。

3.4 被引期刊排名分析

為對比被引期刊對相關(guān)領(lǐng)域的影響力與期刊本身在國際上認可度的關(guān)系。使用CiteSpace的被引期刊網(wǎng)絡(luò)計算出的中心度，作為衡量期刊對相關(guān)領(lǐng)域影響力的度量指標；使用評價結(jié)果總體與JCR期刊評價標準存在較高的一致性[11]，但可以免費使用的Cite Score期刊評價標準，作為期刊在國際上認可度的度量指標；最終提取出文獻數(shù)量排名前10的被引期刊如表4所示。

在相關(guān)發(fā)文量排在前10的期刊中：研究方向上，基本都以“工程技術(shù)-計算機：軟件工程”為主，即釣魚網(wǎng)站檢測方面相比理論研究學者以偏向工程性的研究更多。而在理論研究與工程實踐中，以理論研究為主的文章往往具有更高的科技前瞻性與研究深度。所以在中心度上，以理論方法為主的《COMMUN ACM》雖然文獻數(shù)量相較第一名的《LECT NOTES COMPUT SC》僅達到后者的一半，但中心度卻明顯高于其他同文獻量級刊物。Cite Score的相關(guān)性上，因為Cite Score值所反映的是刊物的整體水平而非某領(lǐng)域下研究分支的水平，故中科院SCI期刊分區(qū)標準上被評為一區(qū)期刊的IEEE COMMUNSURV TUT其中心度（0.08）遠遠低于小眾期刊LECT NOTES COMPUT SC的中心度得分（0.23）?？梢?，釣魚網(wǎng)站檢測技術(shù)的整體研究水平在世界頂尖刊物上還缺乏其他研究領(lǐng)域所達到的深度。盡管目前的研究成果已經(jīng)趨于成熟，但是尚未有一種方法至少能夠在理論上達到根治網(wǎng)絡(luò)釣魚的目的。

表4 TOP 10被引期刊排名表

3.5 國內(nèi)外主要研究機構(gòu)及代表作者分析

國家科研實力的進步離不開研究機構(gòu)的貢獻，而研究機構(gòu)中實驗室?guī)ь^人的實力往往可以從側(cè)面體現(xiàn)出機構(gòu)在這一領(lǐng)域下的研究實力。利用3.3節(jié)得到的國家中心度作為各國在釣魚網(wǎng)站監(jiān)測技術(shù)上的科研實力參考，提取中心度排名前10的國家，并統(tǒng)計尋找其國家內(nèi)此領(lǐng)域下發(fā)文最多的研究機構(gòu)與機構(gòu)高產(chǎn)作者，如表5所示。

表5 中心度Top 10國家下其主要研究機構(gòu)及高產(chǎn)作者排名表

在研究機構(gòu)上，中國的中科院大學以15篇的發(fā)文量遠超世界其他各國發(fā)文量排名第一的機構(gòu)。說明中國大學論文的發(fā)表在國際上處于一定的領(lǐng)先地位。但與此同時注意到，中國整體的中心度較低即文章在國際上的影響力較弱。根據(jù)之前的分析，在釣魚網(wǎng)站檢測相關(guān)領(lǐng)域的期刊以工程技術(shù)為主。故可大致看出，中國在工程技術(shù)方面已經(jīng)具備一定的實力，在創(chuàng)新程度上與國外相比還存在一定的差距，后期應(yīng)加大理論方面的研究為接下來的理論創(chuàng)新提供一定的基礎(chǔ)。

4 研究熱點和趨勢分析

釣魚網(wǎng)站自出現(xiàn)之日起到今天，數(shù)量一直呈現(xiàn)上升趨勢。釣魚的手段和對象隨著時間的推進不斷發(fā)展，反釣魚的手段也在不斷更新。但無論如何演變，目前新方法的本質(zhì)為將基礎(chǔ)方法的組合或機器學習實現(xiàn)，現(xiàn)將代表性方法與結(jié)合此方法的代表性文章整理如表6所示。

結(jié)合3.2節(jié)的時間軸圖，以關(guān)鍵詞過濾后Web of Science核心數(shù)據(jù)庫收錄的論文作為統(tǒng)計數(shù)據(jù)（此過濾條件下收錄的論文伊始年份為2005年，故表7中尚未起始時間段為2005年）對本領(lǐng)域的研究熱點以及發(fā)展趨勢歸納如表7所示。

表6 釣魚網(wǎng)站基礎(chǔ)檢測方法匯總表

在整個釣魚網(wǎng)站檢測技術(shù)發(fā)展的第一階段（方法探索階段），即是要解決如何選取合適的特征并通過何種技術(shù)手段進行特征值的提取問題，換句話說即是特征數(shù)據(jù)集的構(gòu)建問題。而在釣魚網(wǎng)站檢查的第二階段（方法完善階段），如何通過特征數(shù)據(jù)高效且準確的得出判定結(jié)果成為了新一輪的研究目標。在這一階段，各種算法的嘗試與組合是檢測技術(shù)研究的主流方向。著重解決在給定特征指標不變的前提下，如何提高檢測算法準確性與高效性的問題。隨著人工智能技術(shù)的興起，釣魚網(wǎng)站開始利用人工智能技術(shù)對網(wǎng)站的釣魚特征進行智能化的偽裝，傳統(tǒng)的高效特征逐漸喪失其優(yōu)勢，而另一些冷門特征逐漸有了檢測價值?？梢姡卺烎~網(wǎng)站檢測技術(shù)的第三階段（方法人工智能化階段），如何通過人工智能技術(shù)與同樣開始使用人工智能技術(shù)的釣魚網(wǎng)站進行特征挖掘與特征隱藏之間的博弈將成為新的問題。

表7 釣魚網(wǎng)站檢測方法及研究熱點發(fā)展脈絡(luò)表

5 結(jié)論

釣魚網(wǎng)站的檢測本質(zhì)上是對網(wǎng)站進行特征提取后，對所提取特征所做的檢測，而非釣魚網(wǎng)站本身。所以在釣魚網(wǎng)站監(jiān)測技術(shù)的研究上，研究熱點以及趨勢的發(fā)展脈絡(luò)以釣魚網(wǎng)站的特征的選取與獲得作為整個研究方向的導向標。在此回答文章伊始所提出的三個問題。

（1）釣魚網(wǎng)站檢測技術(shù)關(guān)注的熱點及核心研究領(lǐng)域：

技術(shù)實力的基礎(chǔ)決定了釣魚網(wǎng)站的特征選取，而整個技術(shù)的關(guān)注點則伴隨著特征數(shù)據(jù)的發(fā)展而不斷更新。在初期的方法探索階段，由于特征數(shù)據(jù)的匱乏，所以核心關(guān)注點在特征發(fā)現(xiàn)、特征提取、檢測技術(shù)等一系列圍繞特征數(shù)據(jù)的收集以及定性與定量的處理上。核心研究特征數(shù)據(jù)的選取與處理問題。而在方法完善階段，由于特征數(shù)據(jù)的獲取與處理已經(jīng)趨于成熟，人們開始將關(guān)注點移至僵尸網(wǎng)絡(luò)、數(shù)據(jù)挖掘、社會工程學等釣魚網(wǎng)絡(luò)的危害途徑及目的意圖上來。核心研究如何提高釣魚網(wǎng)站檢測的準確率同時降低所耗費時間的問題。最后，隨著人工智能熱度的不斷升溫，無論是釣魚網(wǎng)站的制作者還是釣魚網(wǎng)站檢測的白帽安全人員，都開始將人工智能技術(shù)融入網(wǎng)站的攻防技術(shù)中來。為了應(yīng)對越來越成熟的檢測手段，對釣魚特征的隱藏從最初的單純利用社會工程學的手段混淆嫌疑URL，發(fā)展到對網(wǎng)站腳本的惡意代碼偽裝、注冊信息造假以及CSS文件內(nèi)容的降重等。隱藏手段從過去的單一特征造假向如今的多元特征造假發(fā)展。為了攫取更高額度的利潤，釣魚的對象也從以往的個人擴展到金融組織。釣魚的媒介從過去的電子郵件和PC端網(wǎng)頁發(fā)展到大量通過智能手機終端，包括但不限于手機網(wǎng)頁、文字短信、社交APP等。關(guān)注的熱點偏向了機器學習、大數(shù)據(jù)、潛在語義分析等如何利用人工智能技術(shù)進行相關(guān)的檢測上來。核心研究如何通過人工智能的方法使得對釣魚網(wǎng)站的檢測從單純的特征比對，到檢測系統(tǒng)對特征的自主學習以至于特征理解上來。

（2）在釣魚網(wǎng)站檢測技術(shù)領(lǐng)域下國際上著名的期刊及研究機構(gòu)：

國際上，釣魚網(wǎng)站檢測技術(shù)相關(guān)方向的投稿主要以投向工程類期刊為主，可見在這一領(lǐng)域的研究中相比純學術(shù)性質(zhì)的研究，釣魚網(wǎng)站的檢測更偏向于工程實踐性質(zhì)的研究。普通刊物以《LECT NOTES COMPUT SC》為主，高水平期刊以ACM和IEEE下的子刊為主，期刊詳表見3.4節(jié)的表4。

（3）釣魚網(wǎng)站檢測技術(shù)在國際上的發(fā)展脈絡(luò)以及未來可能的發(fā)展趨勢：

釣魚網(wǎng)站檢測技術(shù)主要經(jīng)歷了3大發(fā)展階段，具體如第4章的表7所示。在檢測初期往往以較為容易提取及區(qū)分的URL作為特征判別的主流方向，而定性的依據(jù)則主要以不同字符的定量特征為主。在方法的完善階段，當社會工程學的內(nèi)容加入之后，人們開始探索釣魚網(wǎng)站服務(wù)器的所在地域與網(wǎng)站成本之間的關(guān)系、網(wǎng)站存在時長與網(wǎng)站良惡性質(zhì)之間的關(guān)系等一大批從社會工程學角度出發(fā)挖掘的特征。此時樸素貝葉斯、支持向量機以及邏輯回歸三大分類器[17]模型幾乎成了釣魚網(wǎng)站做二分類時的分類模型標配。近年來，隨著人工智能熱度的不斷升高，無論是釣魚網(wǎng)站的制作者還是釣魚網(wǎng)站檢測的白帽安全人員，都開始將人工智能技術(shù)融入網(wǎng)站的攻防技術(shù)中來。為了應(yīng)對越來越成熟的檢測手段，對釣魚特征的隱藏從最初的單純利用社會工程學的手段混淆嫌疑URL，發(fā)展到對網(wǎng)站腳本的惡意代碼偽裝、注冊信息造假以及CSS文件內(nèi)容的降重等。隱藏手段從過去的單一特征造假向如今的多元特征造假發(fā)展。為了攫取更高額度的利潤，釣魚的對象也從以往的個人擴展到金融組織。釣魚的媒介從過去的電子郵件和PC端網(wǎng)頁發(fā)展到大量通過智能手機終端，包括但不限于手機網(wǎng)頁、文字短信、社交APP等。由此引出的以人工智能手段為基礎(chǔ)的：釣魚頁面視覺上與合法頁面的差異性挖掘，釣魚URL與URL特征檢測方向的生成式對抗網(wǎng)絡(luò)構(gòu)建，以及在新的移動終端出現(xiàn)的釣魚網(wǎng)站智能檢測等利用人工智能整合基礎(chǔ)檢測方法的方式都將可能成為今后一段時間內(nèi)的新發(fā)展趨勢。